“Se Souvenir De Moi Sur Cet Ordinateur” - Comment Devrait-Il Travailler?
Regardant Gmail cookies, il est facile de voir ce qui est stocké dans le "se souvenir de moi" cookie. Le nom d'utilisateur/une-heure-accès à jeton. Il pourrait être mis en œuvre différemment dans les cas où le nom d'utilisateur est secret, ainsi. Mais quelle que soit la... la chose n'est pas très haute sécurité: vous voler le cookie et vous êtes prêt à aller.
Ma question est sur le côté fonctionnel, cependant: quand pensez-vous d'essuyer leurs jetons d'accès? Si un utilisateur se connecte sans cliquant sur "se souvenir de moi" sur une autre machine, faut-il invalider leurs jetons d'accès sur toutes les machines? Je me demande comment cela est traditionnellement mis en œuvre, et comment il devrait être mis en œuvre.
- Je pense que la façon de définir des cookies pour que la sécurité est importante lors de la programmation d'une application web - semble tout à fait raisonnable
- Comment cela est-il PAS de programmation relative?
- Certainement de programmation relative.
- C. f. codinghorror.com/blog/archives/001256.html
- double possible de Quelle est la meilleure façon de mettre en œuvre "se souvenir de moi" pour un site web?
- en quelque sorte, mais je veux parler d'un aspect différent
- Ce n'est pas un doublon, c'est la programmation liées bien que pas nécessairement liées au code de soi. Bonne question. Je voudrais savoir les bonnes réponses moi-même!
Vous devez vous connecter pour publier un commentaire.
J'utilise régulièrement 2 ou 3 machines simultanément, et ont de "se souvenir de moi" sur chacun d'eux. Si l'un d'eux déconnecté les autres, ce serait très gênant, donc je ne le recommande pas.
Traditionnellement, ce serait d'utiliser un time-out, le cookie expire après un certain laps de temps (ou quand l'utilisateur se déconnecte).
Tout dépend de votre modèle de sécurité. Si vous êtes à la rédaction d'un interne de l'entreprise de l'application où vous ne jamais s'attendre à un utilisateur sur un ordinateur, alors vous pourriez vouloir avoir des restrictions plus sévères que gmail.
Aussi, garder à l'esprit la possibilité de Déni de Service - si une action sur une seule machine peut obliger l'autre à la machine d'être inutilisable ce qui pourrait être utiliser pour empêcher l'utilisateur légitime de prendre le contrôle de retour dans certains scénarios.
Les articles Persistante De Connexion De Meilleure Pratique et L'Amélioration Persistante De Connexion De Meilleure Pratique sont de grandes références sur la façon de mettre en œuvre ce genre de fonctionnalité.
Voir aussi ces StackOverflow questions
Ouverture de session à partir d'une autre machine ne devrait pas invalider la connexion associée à un cookie sur une machine différente. Toutefois, si les utilisateurs logsout ou "pas vous? connectez-vous ici" ce qui devrait effacer le cookie sur lequel l'utilisateur travaille.
Par le moyen de voler un cookie peut être difficile, en insistant sur https et il n'est pas pour l'écriture de scripts.
En ajoutant "; HttpOnly" à la sortie de votre cookie cela va rendre le cookie indisponible pour javascript par exemple
vous pouvez lire plus sur ce
Le cookie se souvenir de moi doit identifier la machine. Il doit être lié à la machine, car il y a des endroits où vous souhaitez être rappeler et d'autres endroits où vous n'avez pas (à la maison vs travail).
Date d'Expiration est fixée généralement à une période raisonnable (deux semaines) ou après que l'utilisateur a explicitement déconnecté de la machine,
Ce que je voudrais faire est de lier chaque session à une adresse IP. Si l'un jeton de session est envoyé à partir d'une adresse IP différente à celle que vous avez pour que, de la rejeter.
Jetons d'accès doit être une adresse IP spécifique, de sorte qu'ils ne peuvent pas être facilement transférés sur des machines.
Ils devraient également être mis en œuvre d'une manière qui permet aux utilisateurs de voir ce que les machines qu'ils ont active jetons sur.
Sites qui choisissent de tuer un jeton, une fois un nouveau est créé sur un autre ordinateur - de faire le choix qui leur utilisateurs ne pourront pas accéder à leurs services sur plusieurs ordinateurs - ou si elles le font, que leur utilisation justifie en faisant d'eux de se connecter à nouveau.
La politique que vous employer dépend vraiment sur les données vous tenez et les besoins de l'utilisateur.